커넥티드 카는 도로를 달리는 컴퓨터 혹은 스마트폰에 비유된다. 수천 개의 전자부품을 탑재하고 정보통신망과 실시간으로 연결돼 교통과 관련한 모든 정보를 수집한다. 특히 자율주행 자동차는 초고속 무선 이동통신을 통해 서버와 연결되고 운행에 필요한 명령을 내려받는다.
이처럼 자동차가 정보통신망에 연결되면서 자동차 역시 해킹 대상이 됐다. 해킹 가능성만 제기되는 것을 넘어 화이트해커를 통한 실제 해킹 성공 사례도 보고되고 있다.
자동차에 대한 사이버공격 위협이 가시화되면서, 자동차 사이버보안에 대한 논의와 규제 역시 본격화됐다. 유엔 유럽경제위원회(UNECE) 세계 포럼이 발표한 UNECE WP.29 R155와 R156이 대표적이다.
UNECE는 유럽, 북미, 아시아 등에서 전 세계 56개 회원국을 포함하는 조직으로, WP.29는 차량 및 부품의 안전성과 성능에 대한 기술규정을 다루는 규제 포럼이다. UNECE는 지난 2020년 6월 자동차 수명주기 전체에 적합한 사이버보안 요구사항을 충족하고, 보안 사고에 대응할 수 있는 체계를 수립해야 한다고 발표했으며, 한국도 여기에 서명했다.
이 규정에 따라 올해 7월부터 회원국에 출시되는 자동차 제조사는 사이버보안에 대한 관리 체계(CSMS, Cyber Security Management System)를 갖추고, 차량 형식에 대한 승인을 UNECE로부터 받아야 한다. 이를 통과하지 못하면 회원국 내에 신차를 출시할 수 없다. 현재는 신차가 대상이지만, 오는 2024년 7월부터는 모든 차량을 대상으로 확대한다.
엔진 제어 장치(ECU)를 탑재한 차량이 대상이지만, 오늘날 출시되는 대부분의 자동차가 이를 탑재하기 때문에 사실상 모든 자동차가 대상이 된다. 특히 UNECE 회원국은 전세계 자동차 생산량의 3분의 1을 차지하기 때문에 영향력이 크다.
일반적으로 자동차 한 대를 생산하는 데는 수많은 협력사가 필수적으로 참여한다. 때문에 CSMS 수립과 운영 과정에는 자동차 제조사뿐만 아니라, 여러 부품업체와의 긴밀한 협력과 대응이 필요하다.
국토교통부가 지난 2020년 12월 UNECE의 자동차 사이버보안 규정을 바탕으로 발표한 자동차 사이버보안 가이드라인에 따르면 CSMS를 구축하는 주체는 자동차 제조사며, 공급업체나 협력업체 등 공급망에 있어서도 동일한 관리체계를 적용해야 한다.
제조사와 협력사는 차량 사이버보안 정책을 갖추고, 정책에 맞는 절차가 마련됐는지 확인하고, 이에 대한 인증심사와 위험평가방법론을 갖춰야 한다. 특히 기술 발전에 따라 사이버 공격 유형이 다양해지는 만큼 특정 시점만 고려한 보안조치는 실효성이 떨어진다. 이에 따라 자동차 개발, 생산, 사후지원 등 생애 주기 전반에 걸쳐 CSMS를 적용할 수 있도록 해야 한다.
국토부 가이드라인에서는 사이버보안 침해대응과 마찬가지로 위험 평가와 보안 모니터링의 중요성을 강조한다. 사이버보안의 경우 모니터링을 통해 새로운 취약점을 발굴하고, 이에 대한 위험도를 평가해 보안조치를 수행한다. 자동차 역시 이와 마찬가지로 모든 생애 주기에서 위협 가능성을 발굴해 위험성 평가 및 빠른 업데이트를 통한 대응이 필요하다.
이를 위해서 적절한 보안조치 구현, 최단 시간 내에 조치 마련, 데이터 보안을 위한 시스템 환경 구축, 적절한 보안 강도를 갖춘 암호화 모듈 탑재 등이 필요하다.
정부에서도 이 같은 규정에 대비해 다양한 전략을 실행 중이다. 한국교통안전공단 자동차연구원에는 오는 2025년까지 235억원을 투입하고 자동차 보안 지원 및 대응체계를 마련한다. 여기서 자동차 보안 안전 기준 시행을 위해 자동차 제작사의 사이버보안 관리체계를 인증 및 평가하고, 사이버보안 모니터링 활동에 대한 점검과 안전성을 시험·평가한다.
보안사고가 발생할 경우 국가가 운영하는 자동차 보안센터 운영을 통해 해킹 등 보안사고에 대응한다. 자동차 보안센터는 사고에 총괄 대응하고, 업계와 공동해결책을 마련하기 위해 유관기관과 정보를 공유한다. 특히 국가 차원에서 보안 위협 사례와 해결방안에 대한 데이터베이스를 선제적으로 구축하고, 적극적인 지원과 대응에 나선다. 또한 민간기업에는 자동차 보안을 실차 수준에서 평가할 수 있도록 공간과 장비를 제공하고, 자동차 보안 교육과 훈련도 추진한다는 계획이다.
과학기술정보통신부는 군산에 위치한 자동차융합기술원을 통해 자율주행 자동차 융합보안을 지원하고 있다. 한국인터넷진흥원은 지난해 5월 자율주행 자동차 정보보호 강화를 위한 업무협약을 맺고 보안 리빙랩 운영, 보안모델 보급 확산, 보안 기술교육 및 인식 제고, 보안 협의체 운영, 안전성 시험 기반 마련 등에 협력하기로 했다. 또한 새만금 자율주행 테스트베드에도 자동차 보안성 시험환경을 구축한다.
자동차 부품에 대한 보안 점검과 컨설팅은 물론, 보안 솔루션도 함께 제공하는 패키지 형태의 보안 지원 사업이다. 이로써 수출 차량과 부품에 대한 보안 적합성을 평가하는 등 글로벌 규제에 대응할 계획이다.
이에 따라 사이버보안 기업 역시 자동차 분야로 사업을 확대하고 있다. LG전자는 지난해 9월 커넥티드 카 보안에 대비해 이스라엘 보안 스타트업 사이벨리움을 인수하고 자동차 전장사업을 강화한다고 밝혔다.
사이벨리움은 2016년 설립된 보안 스타트업으로, 기계학습을 통한 소프트웨어 취약점 점검 솔루션을 갖추고 있다. 소프트웨어 실행 파일 자체를 분석하는 '바이너리 파일 분석'기술을 통해 알려진 취약점은 물론, 향후 위협이 될 수 있는 취약점 역시 발굴한다.
자동차 분야에서는 디지털 트윈 기술을 기반으로 점검 솔루션을 제공 중이다. 자동차에 탑재된 각 구성요소와 소프트웨어의 동일한 복제본을 시뮬레이션 환경에 구현하고 여기서 보안 취약점을 찾아내 조치한다.
오늘날 자동차에 쓰이는 개발 소스코드는 수천 줄을 넘어가며, 복잡한 공급망을 통해 완성되기 때문에 제조사가 모든 코드를 점검하고 위협 요인을 찾아내는 것은 불가능에 가깝다. 때문에 이러한 솔루션을 기반으로 취약점 탐지를 자동화하고 대응할 필요성도 크다.
사물인터넷(IoT) 보안 기업 시옷은 전장부품의 무선 업데이트(OTA)에 대한 보안 강화를 위해 하드웨어 보안 모듈을 제공하고 있다. 차량에 장착된 하드웨어 보안 모듈은 부품 작동 시 정상적인 소프트웨어가 실행되도록 시큐어 부팅을 진행하며, 펌웨어의 위조나 변조를 탐지한다. OTA를 통해 악성 펌웨어가 설치되더라도 이를 검증할 수 있다는 의미다.
지난해 9월에는 본투글로벌센터 지원사업을 통해 유럽 시장에도 진출한 바 있으며, 같은 해 11월에는 울산광역시, 광주광역시의 차세대 지능형 교통체계 스마트 도로 실증사업을 수주했다. 올해 5월에는 한국마이크로소프트(이하 MS)와 공급사 계약을 맺었다. 시옷의 보안 모듈에 MS 클라우드 기반 IoT 솔루션을 도입하고, 자동차에서 발생한 정보를 클라우드로 보내 관리 및 분석하는 방식이다. 이를 통해 기업은 보안 위협과 자동차 작동 상태를 실시간으로 파악해 위협에 대응할 수 있다.
국내 자동차 부품 및 전장 기업도 미래차 시장 대응을 위해 UNECE가 제안한 관리체계 인증에 나섰다. 전장 업체 현대오토에버가 대표적이다. 현대오토에버는 올해 5월 글로벌 시험·인증기관인 TUV 라인란드로부터 CSMS에 대한 인증을 획득했다.
현대오토에버는 지능형 운전자 보조 시스템(ADAS)에 탑재되는 소프트웨어 개발뿐만 아니라 ADAS 지도 개발, 자율주행에 필수 요소인 고정밀 지도(HD Map) 등 다양한 소프트웨어를 제공하며 전장 소프트웨어 시장에서 입지를 다지고 있다. 이번 인증으로 개방형 차량용 소프트웨어 플랫폼 오토사(AUTOSAR)를 통해 개발하는 소프트웨어는 물론, ADAS, 고정밀 지도 등 자율주행 기반 기술도 CSMS 환경에서 개발한다는 방침이다.
이처럼 자동차가 정보통신망에 연결되면서 자동차 역시 해킹 대상이 됐다. 해킹 가능성만 제기되는 것을 넘어 화이트해커를 통한 실제 해킹 성공 사례도 보고되고 있다.
자동차에 대한 사이버공격 위협이 가시화되면서, 자동차 사이버보안에 대한 논의와 규제 역시 본격화됐다. 유엔 유럽경제위원회(UNECE) 세계 포럼이 발표한 UNECE WP.29 R155와 R156이 대표적이다.
UNECE는 유럽, 북미, 아시아 등에서 전 세계 56개 회원국을 포함하는 조직으로, WP.29는 차량 및 부품의 안전성과 성능에 대한 기술규정을 다루는 규제 포럼이다. UNECE는 지난 2020년 6월 자동차 수명주기 전체에 적합한 사이버보안 요구사항을 충족하고, 보안 사고에 대응할 수 있는 체계를 수립해야 한다고 발표했으며, 한국도 여기에 서명했다.
엔진 제어 장치(ECU)를 탑재한 차량이 대상이지만, 오늘날 출시되는 대부분의 자동차가 이를 탑재하기 때문에 사실상 모든 자동차가 대상이 된다. 특히 UNECE 회원국은 전세계 자동차 생산량의 3분의 1을 차지하기 때문에 영향력이 크다.
글로벌 규제 대응에 정부도 본격 나서...자동차 보안센터 구축
국토교통부가 지난 2020년 12월 UNECE의 자동차 사이버보안 규정을 바탕으로 발표한 자동차 사이버보안 가이드라인에 따르면 CSMS를 구축하는 주체는 자동차 제조사며, 공급업체나 협력업체 등 공급망에 있어서도 동일한 관리체계를 적용해야 한다.
제조사와 협력사는 차량 사이버보안 정책을 갖추고, 정책에 맞는 절차가 마련됐는지 확인하고, 이에 대한 인증심사와 위험평가방법론을 갖춰야 한다. 특히 기술 발전에 따라 사이버 공격 유형이 다양해지는 만큼 특정 시점만 고려한 보안조치는 실효성이 떨어진다. 이에 따라 자동차 개발, 생산, 사후지원 등 생애 주기 전반에 걸쳐 CSMS를 적용할 수 있도록 해야 한다.
국토부 가이드라인에서는 사이버보안 침해대응과 마찬가지로 위험 평가와 보안 모니터링의 중요성을 강조한다. 사이버보안의 경우 모니터링을 통해 새로운 취약점을 발굴하고, 이에 대한 위험도를 평가해 보안조치를 수행한다. 자동차 역시 이와 마찬가지로 모든 생애 주기에서 위협 가능성을 발굴해 위험성 평가 및 빠른 업데이트를 통한 대응이 필요하다.
이를 위해서 적절한 보안조치 구현, 최단 시간 내에 조치 마련, 데이터 보안을 위한 시스템 환경 구축, 적절한 보안 강도를 갖춘 암호화 모듈 탑재 등이 필요하다.
정부에서도 이 같은 규정에 대비해 다양한 전략을 실행 중이다. 한국교통안전공단 자동차연구원에는 오는 2025년까지 235억원을 투입하고 자동차 보안 지원 및 대응체계를 마련한다. 여기서 자동차 보안 안전 기준 시행을 위해 자동차 제작사의 사이버보안 관리체계를 인증 및 평가하고, 사이버보안 모니터링 활동에 대한 점검과 안전성을 시험·평가한다.
보안사고가 발생할 경우 국가가 운영하는 자동차 보안센터 운영을 통해 해킹 등 보안사고에 대응한다. 자동차 보안센터는 사고에 총괄 대응하고, 업계와 공동해결책을 마련하기 위해 유관기관과 정보를 공유한다. 특히 국가 차원에서 보안 위협 사례와 해결방안에 대한 데이터베이스를 선제적으로 구축하고, 적극적인 지원과 대응에 나선다. 또한 민간기업에는 자동차 보안을 실차 수준에서 평가할 수 있도록 공간과 장비를 제공하고, 자동차 보안 교육과 훈련도 추진한다는 계획이다.
과학기술정보통신부는 군산에 위치한 자동차융합기술원을 통해 자율주행 자동차 융합보안을 지원하고 있다. 한국인터넷진흥원은 지난해 5월 자율주행 자동차 정보보호 강화를 위한 업무협약을 맺고 보안 리빙랩 운영, 보안모델 보급 확산, 보안 기술교육 및 인식 제고, 보안 협의체 운영, 안전성 시험 기반 마련 등에 협력하기로 했다. 또한 새만금 자율주행 테스트베드에도 자동차 보안성 시험환경을 구축한다.
자동차 부품에 대한 보안 점검과 컨설팅은 물론, 보안 솔루션도 함께 제공하는 패키지 형태의 보안 지원 사업이다. 이로써 수출 차량과 부품에 대한 보안 적합성을 평가하는 등 글로벌 규제에 대응할 계획이다.
민간 기업도 규제에 적극 대응...5조원 넘는 시장 열린다
시장조사업체 마켓앤마켓이 2020년 발표한 자료에 따르면 전 세계 자동차 사이버보안 시장은 오는 2025년까지 39억7680만 달러(약 5조1654억원)에 이를 전망이다.이에 따라 사이버보안 기업 역시 자동차 분야로 사업을 확대하고 있다. LG전자는 지난해 9월 커넥티드 카 보안에 대비해 이스라엘 보안 스타트업 사이벨리움을 인수하고 자동차 전장사업을 강화한다고 밝혔다.
사이벨리움은 2016년 설립된 보안 스타트업으로, 기계학습을 통한 소프트웨어 취약점 점검 솔루션을 갖추고 있다. 소프트웨어 실행 파일 자체를 분석하는 '바이너리 파일 분석'기술을 통해 알려진 취약점은 물론, 향후 위협이 될 수 있는 취약점 역시 발굴한다.
자동차 분야에서는 디지털 트윈 기술을 기반으로 점검 솔루션을 제공 중이다. 자동차에 탑재된 각 구성요소와 소프트웨어의 동일한 복제본을 시뮬레이션 환경에 구현하고 여기서 보안 취약점을 찾아내 조치한다.
오늘날 자동차에 쓰이는 개발 소스코드는 수천 줄을 넘어가며, 복잡한 공급망을 통해 완성되기 때문에 제조사가 모든 코드를 점검하고 위협 요인을 찾아내는 것은 불가능에 가깝다. 때문에 이러한 솔루션을 기반으로 취약점 탐지를 자동화하고 대응할 필요성도 크다.
사물인터넷(IoT) 보안 기업 시옷은 전장부품의 무선 업데이트(OTA)에 대한 보안 강화를 위해 하드웨어 보안 모듈을 제공하고 있다. 차량에 장착된 하드웨어 보안 모듈은 부품 작동 시 정상적인 소프트웨어가 실행되도록 시큐어 부팅을 진행하며, 펌웨어의 위조나 변조를 탐지한다. OTA를 통해 악성 펌웨어가 설치되더라도 이를 검증할 수 있다는 의미다.
지난해 9월에는 본투글로벌센터 지원사업을 통해 유럽 시장에도 진출한 바 있으며, 같은 해 11월에는 울산광역시, 광주광역시의 차세대 지능형 교통체계 스마트 도로 실증사업을 수주했다. 올해 5월에는 한국마이크로소프트(이하 MS)와 공급사 계약을 맺었다. 시옷의 보안 모듈에 MS 클라우드 기반 IoT 솔루션을 도입하고, 자동차에서 발생한 정보를 클라우드로 보내 관리 및 분석하는 방식이다. 이를 통해 기업은 보안 위협과 자동차 작동 상태를 실시간으로 파악해 위협에 대응할 수 있다.
국내 자동차 부품 및 전장 기업도 미래차 시장 대응을 위해 UNECE가 제안한 관리체계 인증에 나섰다. 전장 업체 현대오토에버가 대표적이다. 현대오토에버는 올해 5월 글로벌 시험·인증기관인 TUV 라인란드로부터 CSMS에 대한 인증을 획득했다.
현대오토에버는 지능형 운전자 보조 시스템(ADAS)에 탑재되는 소프트웨어 개발뿐만 아니라 ADAS 지도 개발, 자율주행에 필수 요소인 고정밀 지도(HD Map) 등 다양한 소프트웨어를 제공하며 전장 소프트웨어 시장에서 입지를 다지고 있다. 이번 인증으로 개방형 차량용 소프트웨어 플랫폼 오토사(AUTOSAR)를 통해 개발하는 소프트웨어는 물론, ADAS, 고정밀 지도 등 자율주행 기반 기술도 CSMS 환경에서 개발한다는 방침이다.